absurd

Benutzer regn schrieb:


einfache Lösung wäre ja die Rufnummernänderung (sowas kommt wirklich nicht oft vor) nicht über die Internetoberfläche durchführen zu lassen.

der schwarze Peter liegt eindeutig bei den Banken.

Benutzer spunk_ schrieb:


Wie du es *nicht* haben willst, hast du jetzt geschrieben. Aber wie soll deine "einfache Lösung" dann konkret aussehen?

Wie im Artikel erläutert ist, geht die Änderung ja schon jetzt meist gar nicht direkt online, sondern nur mit einem per Post verschickten Freischaltcode. Den Code klauen die Betrüger dann aus dem Briefkasten.

Benutzer Mobilfunk-Experte schrieb:



Änderung NICHT über de Internetoberfläche sondern schriftlich.


geht online - leider - das ist ja das Problem.


das ist nach der Änderung die neuen Zugangsdaten.

Benutzer spunk_ schrieb:
Vielleicht ist das von Bank zu Bank unterschiedlich. Im Artikel steht aber eindeutig, dass die Änderung der Rufnummer zwar online möglich ist, aber nur, wenn man den per Post erhaltenen Bestätigungscode eingibt. Heißt also: Nummernänderung online starten, auf Post warten, Änderung online mit dem Code bestätigen. Denke nicht, dass die neue Rufnummer vor der Bestätigung schon für Tans genutzt werden kann. Wäre ja auch sinnfrei.

Artikel:

Das hängt von der Bank ab. Bei meiner z.B. (eine Volksbank) ist es rein online möglich, Bestätigungscode kommt per SMS auf die ALTE und! die neue Nummer, nicht per Post. Damit kann der Betrüger also auch nichts anfangen.

Ich halte das Problem aber auch für überbewertet.

a) in den Fällen einer Postbestätigung ist der Aufwand viel zu hoch, für normale Betrügerbanden die i.d.R. vom Ausland aus operieren lohnt das nicht - die müssten ja wenn sie meine Bankverbindung haben erstmal meine Postanschrift herausfinden und dann persönlich zum Briefkasten vorbeikommen.

b) wer Onlinebanking mit mobileTAN nutzt überweist in der Regel auch damit seine Beträge - spätestens wenn ich also die nächste Überweisung tätige und keine SMS bei mir ankommt weis ich / vermute ich doch dass meine Telefonnummer geändert ist bzw. die eigene nicht mehr hinterlegt ist und reagiere.

c) Zumindest wer bei einer regionalen Bank ist kann i.d.R. sowieso drauf hoffen, dass die Bank aufpasst. Meine ruft mich jedenfalls bei ungewöhnlichen Buchungen (und mehre Überweisungen hintereinander ins Ausland obwohl ich das sonst nie tue wäre so ein Fall) an und fragt nach, ob das so seine Richtigkeit hat.

d) Zudem bieten inzwischen viele Banken SMS-Infodienste an - z.B. die Volksbanken und Sparkassen. Bedeutet, man kann sich bei JEDER Buchung die auf dem Konto stattfindet eine Status-SMS zukommen lassen in der einige Grobdaten (Buchungsart, Betrag etc.) angegeben sind. Ich werde also bei JEDEM Vorgang der auf meinem Konto stattfindet UMGEHEND per SMS informiert. Die für diese Dienste hinterlegte Nummer ist zudem nicht an die Nummer für das MobileTAN gekoppelt, kann also eine andere sein - und müsste von den Betrügern zudem seperat geändert werden wozu diese erst erkennen müssten, dass dieser Dienst genutzt wird.

Benutzer getodavid schrieb:
Wenn der Betrüger so dumm ist und vergessen hat, einzurichten, dass normale sms weitergeleitet werden und bei dir ankommen, dann ja. Wie schwierig es ist, herauszufinden, ob eine sms von deiner Bank direkt oder über Umwege kommt, hängt von dem technischen Aufwand, den der Betrüger betrieben hat (hier käme auch in Betracht, dass ein Netzknoten im Ausland manipuliert wurde und dann die sms "weiterschickt", ohne dass der nächste Knoten einen Unterschied zur Original-SMS sieht, von der Empfäger-Handynummer mal abgesehn).

Das ist schon richtig. Aber der Anbieter hätte ja nur einen Vorteil, wenn er die Zusendung einer SMS bei einer Buchung an mich VERHINDERN würde - damit ich nichts mitbekomme. Die SMS zu fälschen bringt nichts - denn dadurch erhalte ich ja einen Hinweis auf eine stattgefundene Buchung. Und würde sofort mein Konto überprüfen wenn es sich um eine handelt, mit der ich aktuell nicht rechne weil ich nichts überwiesen habe (oder keine Gutschrift erwarte)

Benutzer getodavid schrieb:
Klar doch. Eine SMS, die über seine Aktivitäten informiert, ist keine normale SMS im oben gemeinten Sinn. Du hattest ja darauf hingewiesen, dass es dir (und sicher vielen Anderen) auffallen würde, wenn auf eine Kontoaktivität von dir keine SMS kommt. Und jetzt, wo ich meine, dass der ja *normale* SMS durchlassen kann, weist du darauf hin, dass er *verdächtige* SMS natürlich blockieren muss.... das Eine schließt das Andere nicht aus.

Bitte trennen: Es handelt sich um zwei seperate Systeme von denen wir hier sprechen. Einmal die SMS mit der mir eine TAN zugesandt wird um eine Transaktion zu bestätigen (An diesem Kanal hat der Betrüger ein vitales Interesse) und zum anderen die SMS die mich über Kontobewegungen informieren, also quasi eine Art Kontoauszug über SMS (Von denen der Betrüger oft gar nicht weis dass ich sie aktiviert habe). Beide Dinge laufen bei der Bank ganz bewusst über unterschiedliche Systeme und sind auch unterschiedlich abgesichert - und ich muss als Kunde bei beiden Systmen auch nicht dieselbe Handynummer hinterlegen, auch die Konfiguration erfolgt über ganz unterschiedliche Wege. Kapert der Betrüger das eine, bedeutet das noch lange nicht dass er auch Zugriff auf das andere hat.

Insgesamt gilt: Die Betrüber müssten einen massiven technischen und logistischen Aufwand betreiben, um ihre Aktivitäten komplett verschleiern zu können. Sie müssten detaillierte Kentnisse über mich, mein Bankingverhalten und meine Daten haben. Das ist bei den üblichen Pishing-Angriffen aber meist gar nicht der Fall. Der Aufwand wird jetzt so hoch dass es eigentlich nur Sinn macht, bestimmte Personen gezielt anzugreifen an denen man ein direktes Interesse hat - und eben nicht mehr wie bislang einfach mal auf gut Glück abertausende von Konten.

Benutzer GrößterNehmer schrieb:



die Postadresse zu ändern sollte ja hoffentlich schwieriger sein.
ähnlich wäre es sinnvoll diese Hürde auch für die Telefonnummer zu machen.

Benutzer spunk_ schrieb:


Brächte das denn wirklich einen großen Sicherheitsgewinn? Ein Betrüger, der in der Lage ist, einen Freischaltcode aus meinem Briefkasten zu stehlen, könnte auch eine (gefälschte) Rufnummernänderung an meine Bank schicken.


Meinst du damit, die Beschreibung im Artikel wäre falsch, oder sie träfe auf manche Banken nicht zu?

Ich bin Kunde bei einer Bank, die einen Freischaltcode per Post schickt, und bei einer anderen Bank, die für die Änderung eine TAN an die *bisherige* Rufnummer sendet.


Aber ohne den Code wird die neue Rufnummer ja nicht freigeschaltet, die Änderung ist also noch nicht wirksam.

Benutzer spunk_ schrieb:


Geht bei meiner Bank ohnehin nicht.

Bei meiner Bank gibt's nen Tan Generator. Funzt wunderbar. Sicherer geht es kaum! Finger weg von SMS Tan und wie die ganzen Dinger heißen und vor allem bloß nicht die Android Banking App benutzen!!!

Benutzer Commander-P schrieb:

Altmodisch :-(